Notas de prensa5 minuto(s) de lectura

Los ciberdelincuentes arremeten contra sistemas Linux mediante ataques de ransomware y criptojacking

Madrid, 11 de febrero de 2022.- Linux es el sistema operativo más común en el cloud y, por ello, parte fundamental de la infraestructura digital, lo que le convierte cada vez más en puerta de acceso para quienes atacan los entornos multicloud. Los sistemas de defensa actuales contra el malware se centran principalmente en las amenazas a Windows, lo que deja a muchos despliegues de nubes públicas y privadas vulnerables frente a los ataques que tienen como objetivo las cargas de trabajo en Linux.

VMware ha publicado un informe sobre amenazas llamado "Malware en entornos multicloud Linux"(1). Entre las principales conclusiones que detallan la forma en la que los ciberdelincuentes utilizan el malware para atacar los sistemas operativos basados en Linux destacan:

  • El ransomware está evolucionando y pone su foco en las imágenes de host que se utilizan para activar las cargas de trabajo en entornos virtualizados.
  • El 89% de los ataques de cryptojacking utilizan librerías relacionadas con XMRig.
  • Más de la mitad de los usuarios de Cobalt Strike podrían ser ciberdelincuentes, o, al menos, utilizar Cobalt Strike de forma ilícita.

"Los ciberdelincuentes están ampliando drásticamente su alcance y añadiendo malware dirigido a sistemas operativos basados en Linux a su kit de herramientas de ataque para maximizar su impacto con el menor esfuerzo posible", afirma Giovanni Vigna, director sénior de inteligencia de amenazas de VMware. "En lugar de infectar un punto final y luego navegar a un objetivo de mayor valor, los ciberdelincuentes han descubierto que comprometer un solo servidor puede ofrecerles la recompensa masiva y el acceso que están buscando. Los agresores consideran las nubes públicas y privadas objetivos de alto valor debido al acceso que proporcionan a los servicios de infraestructura crítica y a los datos confidenciales. Lamentablemente, los sistemas de defensa actuales contra el malware se centran sobre todo en las amenazas a Windows, lo que deja a muchos despliegues de clouds públicas y privadas vulnerables frente a los ataques contra sistemas operativos de Linux".

A medida que el malware dirigido a sistemas operativos Linux aumenta, tanto en volumen como en complejidad en medio de un contexto de amenazas que cambia constantemente, las empresas tienen que poder priorizar la detección de estas. En este informe la Unidad de Análisis de Amenazas de VMware (VMware TAU, por sus siglas en inglés) analiza las amenazas a los sistemas operativos Linux en entornos multicloud: ransomware, criptominería y herramientas de acceso remoto.

El ransomware tiene como objetivo la nube para así provocar el máximo daño posible

Siendo una de las principales filtraciones en las empresas, los ataques certeros de ransomware en un entorno cloud pueden tener consecuencias devastadoras(2). Los ataques de ransomware contra nubes pretenden, y a menudo se combinan con, la filtración de datos implementando un esquema de doble extorsión que mejora las probabilidades de completar dicho ataque. Recientemente se ha percibido que el ransomware basado en Linux está mutando para dirigirse a las imágenes de host utilizadas para activar las cargas de trabajo en entornos virtualizados. Los delincuentes buscan ahora los activos más valiosos en entornos clooud y así provocar el máximo daño posible al objetivo. Entre los ejemplos de estos nuevos ataques está la familia de ransomware Defray777, que cifró imágenes de host en servidores ESXi; y la familia de ransomware DarkSide, que paralizó las redes de Colonial Pipeline y provocó una escasez de gasolina en todo Estados Unidos.

Los ataques de criptojacking utilizan XMRig para minar Monero

Los ciberdelincuentes que buscan una recompensa monetaria instantánea suelen atacar las criptomonedas utilizando uno de estos enfoques: incluir la funcionalidad de robo de carteras en el malware, o monetizar los ciclos de CPU robados para minar criptodivisas con éxito en un ataque llamado cryptojacking. La mayoría de los ataques de criptojacking se centran en el minado de la moneda Monero (o XMR) y la VMware TAU descubrió que el 89% de los criptomineros utilizaban bibliotecas relacionadas con XMRig. Por eso, cuando se identifican bibliotecas y módulos específicos de XMRig en los binarios de Linux es probable que se trate de una prueba de comportamiento malicioso de criptominería. La VMware TAU también observó que la evasión de la defensa es la técnica más utilizada por los criptomineros basados en Linux. Desgraciadamente, y como los ataques de criptominería no interrumpen completamente las operaciones de los entornos cloud como el ransomware, son mucho más difíciles de detectar.

Cobalt Strike es la herramienta de acceso remoto que eligen los agresores

Para obtener el control y persistir en un entorno, los agresores buscan instalar un implante en un sistema comprometido que les dé el control parcial de la máquina. El malware, las webshells y las herramientas de acceso remoto (RAT, por sus siglas en inglés) pueden ser implantes utilizados por los agresores en un sistema comprometido que les permita el acceso remoto. Uno de los principales implantes utilizados por los agresores es Cobalt Strike, una herramienta comercial de pruebas de penetración, y su reciente variante Vermilion Strike basada en Linux. Dado que Cobalt Strike es una amenaza tan omnipresente en Windows, la expansión al sistema operativo Linux demuestra que los agresores quieren utilizar herramientas fácilmente disponibles que se dirijan a tantas plataformas como sea posible.

La VMware TAU descubrió más de 14.000 servidores activos de Cobalt Strike Team en Internet entre febrero de 2020 y noviembre de 2021. El porcentaje total de ID de clientes de Cobalt Strike crackeados y filtrados es del 56%, lo que significa que más de la mitad de los usuarios de Cobalt Strike pueden ser ciberdelincuentes, o al menos utilizar Cobalt Strike de forma ilícita. El hecho de que RATs como Cobalt Strike y Vermilion Strike se hayan convertido en una herramienta básica para los ciberdelincuentes supone una grave amenaza para las empresas.

"Desde que realizamos nuestro análisis, se han observado aún más familias de ransomware que gravitan hacia malware basado en Linux, con el potencial de ataques adicionales que podrían aprovechar las vulnerabilidades de Log4j", afirma Brian Baskin, director de investigación de amenazas de VMware. "Los hallazgos de este informe pueden utilizarse para comprender mejor la naturaleza del malware basado en Linux y mitigar la creciente amenaza que suponen para los entornos multicloud el ransomware, la minería de criptomonedas y las RAT. A medida que evolucionan los ataques dirigidos al cloud, las organizaciones deben adoptar un enfoque Zero Trust para integrar la seguridad en toda su infraestructura y abordar sistemáticamente los vectores de amenaza que conforman su superficie de ataque".

Se puede descargar el informe completo desde aquí.

Acerca de VMware

VMware es el proveedor líder de servicios multicloud para todas las aplicaciones, permitiendo la innovación digital y el control. Como base de confianza para acelerar la innovación, el software de VMware ofrece a las empresas la flexibilidad y la libertad de elección que necesitan para construir el futuro. Con sede en Palo Alto, California, VMware se compromete a construir un futuro mejor a través de su Agenda 2030. Para obtener más información, visita www.vmware.com/company.

Metodología

La Unidad de Análisis de Amenazas de VMware (VMware TAU) ayuda a proteger a los clientes de los ciberataques a través de innovación e investigación de primer nivel. La TAU está compuesta por analistas de malware, ingenieros inversos, cazadores de amenazas, científicos de datos y analistas de inteligencia de VMware. Para entender cómo detectar y prevenir los ataques que esquivan las estrategias de prevención tradicionales, focalizadas en archivos, la TAU se centra en técnicas que antes eran del dominio de los hackers más experimentados y que ahora se están desplazando a los ataques a productos básicos (commodities). El equipo utiliza en su favor el big data en tiempo real, el procesamiento de flujos de eventos, los análisis estáticos, dinámicos y de comportamiento, y el aprendizaje automático.

La TAU aplicó una composición de técnicas estáticas y dinámicas para caracterizar varias familias de malware observadas en sistemas Linux basándose en una serie de datos seleccionados de metadatos asociados a binarios Linux. Todas las muestras de ese grupo de datos son públicas y, por tanto, se puede acceder a ellas fácilmente a través de VirusTotal o varios sitios web de las principales distribuciones de Linux. La TAU recogió más de 11.000 muestras benignas de diferentes distribuciones de Linux, como Ubuntu, Debian, Mint, Fedora, CentOS y Kali. Depués, la TAU recopiló datos de muestras para dos clases de amenazas: ransomware y criptomineros. Por último, la TAU recopiló datos de binarios ELF maliciosos de VirusTotal que se utilizaron como grupo de datos maliciosos de prueba. La TAU empezó a recopilar estos datos en junio de 2021 y concluyó en noviembre de 2021.

Fuentes y citas

  1. Malware en entornos multicloud Linux, VMware, febrero de 2022
  2. Informe sobre seguridad global, VMware, junio de 2021

Contacto

VMware ESCoonicvmware@coonic.com916 39 77 00